LINUX帳號管理命令簡介

###/etc/passwd
##root:x:0:0:root:/root:/bin/bash
##帳號名稱:密碼:UID:GID:使用者資訊說明欄:使用者主目錄:Shell
###/etc/shadow
##root:$1%……:15123:0:99999:7:::
##帳號名稱:密碼:最近更改密碼的日期:密碼不可被更動的天數:密碼需要重新變更的天數:密碼需要變更期限前的警告天數(1:密碼到期後的帳號寬限時間(2:帳號失效日期(3:保留
##1):與第5欄位相比,當幾帳號的密碼有效期間限快要到的時候(第5欄位),系統會依據這個欄位的設定，發出警告給這個帳號，提醒他再過n天你的密碼就要到期了，請儘快得新設定上你的密碼！
##2):與第5欄位相比，密碼有效日期為［更新日期］＋［重新變更日期］,過了該期限後使用者依舊沒有更新密碼,那麼該密碼就算到期了。雖然密碼到期但是該帳號還是可以用來進行其它工作的,包括登入系統取得bash。不過如果密碼到期了，那當你登入系統時，系統會強制要求你必須要重新設定密碼才能登入繼續使用。如果在密碼到期幾天后，如果使用者還是沒有登入更改密碼，那麼這個帳號的密碼將會失效，變取出該帳號再也無不支使用該密碼登入了。
##3):帳號失效日期:這個日期跟第三個欄位一樣，都是使用1970年以來的總日數設定，這個欄位表示，這個帳號在此欄位規定的日期之後，就無法再使用。
###/etc/group
##root:x:0:root
##群組名稱:群組密碼:GID:此群組支援的帳號名稱
###有效群組(effective group)與初始群組(initial group)
##groups->查看用記所屬的組，並且最先輸出的為有效群組
##有效群組的切換--newgrp
##newgrp 所要切換並且支援的群組
###/etc/gshadow（群組管理員）
##root:::root
##群組名稱:密碼欄:群組管理員的帳號:該群組的所屬帳號
###useradd
##useradd [-u UID] [-g 初始群組] [-G 次要群組］ ［－mM］ [-c 說明欄] [-d 家目錄絕對路徑] [-s shell] 使用者幾點號名
#* -M:強制！不要建立使用者家目錄！(一般系統帳事號預設值）
#* -m:強制！要建立使用者家目錄！(一般帳號預設值)
#* -r:建立一個系統的帳號，這個幾點號的UID 會用限制
#* -e:後面接一個日期,格式為［YYYY－MM－DD］此項目可寫入shadow第八欄位,亦即帳號失效日的設定項目囉
#* -f:後面接shadow的第七欄位項目,指定密碼是否會失效。0為立刻失效
#* -D:顯示useradd使用的預設值（儲存在/etc/default/useradd下）
 內容如下:GROUP=100 <=預設的群組
  HOME＝／home <=預設的家目錄所在目錄
  INACTIVE＝－1 <=密碼失效日,在shadow內的第七欄
  EXPIRE＝ <＝帳號失效日,在shadow內的第八欄
  SHELL＝／bin/bash
  SKEL=/etc/skel <=使用者家目錄的內容資料參考目錄
  CREATE MAIL_SPOOL=yes <=是否主動幫使用者建立郵件信箱
 註：INACTIVE:如果是0代表密碼到期立刻失效，如果是-1則代表密碼永遠不會失效，如果是數字，如30，則代表到期30天后夫失效
     SKEL＝／etc/skel使用者目錄參考基準目錄
#* /etc/login.defs
###passwd
##passwd [-l] [-u] [--sdtin] [-S] [-n 日數] [-x 日數] [-w 日數] ［－i 日期］  帳號
##* --stdin:可以透過來自前一個管線的資料，作為密碼輸入，對shell script  有協助！
##* -l:是Lock的意思，會將/etc/shadow第二欄最前面加上!使密碼失效
##* -u:與-l相對，是Unlock的意思！
##* -S:列出密碼相關參數，變即shadow檔案內的大部們資訊
##* -n:後面接天數,shadow的第4欄位,多久不可修改密碼天數
##* -x:後面接天數,shadow的第5欄位,多久內必須要更動密碼
##* -w:後面接天數,shadow的第6欄位,密碼到期前的警告天數
##* -i:後面接日期,shadow的第7欄位,密碼換效日期
##*  echo "abc543CC" | passwd --stdin vbird2
 這個動作會直接更新使用者的密碼而不用再次的手動輸入！好處是方便處理，缺點是這個密碼會保留在指令中，未來若系統被攻破，就可以在/root/.bash_history找到這個密碼！所以這個動作通常公用在shell script的大量建立使用者帳號當中！
#####更詳細的密碼參數顯示功能chage [-ldEImMW] 帳號名
## -l:列出該帳號的詳細密碼參數
## -d:後面接日期,修改shadow第三欄位（最近一次更改密碼的日期），格式YYYY-MM-DD
## -E:後面接日期,修改shadow第八欄位（帳號失效日）,格式YYYY－MMM－DD
## -I:後面接天數,修改shadow第七欄位（密碼失效日期）
## -m:後面接天數,修改shadow第四欄位（密碼最短保留天數）
## -M:後面接天數,修改shadow第五欄位（密碼多久需要進行變更）
## -W:後面接天數,修改shadow第六欄位（密碼到期前警告日期）
####usermod [-cdegGlsuLU] username
## -c:後面接帳號的說明,即/etc/passwd第五欄的說明欄，可以加入一些帳號的說明
## -d:後面接帳號的家目錄,即修改/etc/passwd的第六欄
## -e:後面接日期,格式是YYYY－MM－DD也就是在/etc/shadow內的第八個欄位資料啦！
## -f:後面接天數，為shadow的第七欄位
## -g:後面接初始群組
## -G:後面接次要群組,修改這個使用者能夠支援的群組,修改的是/etc/group囉
## -a:與－G合用,可［增加次要群組的支援］而非［設定］喔！
## -l:後面接帳號名稱，變即是修改帳號的名稱
## -s:後面接Shell的實際檔案,使如/bin/bash或/bin/csh
## -u:後面接UID數字啦！即／etc/passwd第三欄的資料
## -L:暫時將使用者的密碼凍結，讓他無法登入。
## -U:恢複使用者的密碼
＊＊＊chown -R 是使邊同目錄下的所有檔案的使用者／群組屬性都一起變更的意思
####userdel
#使用者的資料有：使用者帳號/密碼相關參數：/etc/passwd,/etc/shadow
         使用者群組相關參數：/etc/group,/etc/gshadow
  使用者個人檔案資料：/home/username,/var/spool/mail/username
## userdel [-r] username
## -r:連同使用者的家目錄也一起刪除
###############普通使用者使用的帳號指令
###finger可以查閱很多使用者相關的資訊，大部分是在/etc/passwd這個檔案裡的
##finger [-s] username
#* -s:僅列出使用者的帳號、全名、終端機代號與登入時間等等
#* -m:列出與後面接的幾點號相同者，而不是得用部分比對
###chfn 有點像 change finger的意思！
##chfn [-foph] [帳號名]
#* -f:後面接完整的大名
#* -o:你辦公室的房間號碼
#* -p:辦公室的電話號話
#* -h:家裡的電話號碼
###chsh 也就是change shell的簡寫
##chsh [-ls]
#* -l:列出目前系統上面可用的shell，其實就是／etc/shells的內容
#* —s:設定修改自己的Shell
########群組
###groupadd
##groupadd [-g gid] [-r] 群組名稱
#* -g:後面接某個特定的GID,用來直接給予某個GID
#* -r:建立系統群組與/etc/login.defs內的GID_MIN有關
#* 修改/etc/group;/etc/gshadow
###groupmod
##groupmod [-g gid] [-n group_name] 群組名
###groupdel 群組名
###gpasswd群組管理員功能
#如果系統管理員太忙碌了，導致某些帳號想要加入某個項目時找不到人幫忙！這個時候可以建立［群組管理員］！群組管理員就是讓某個群組具有一個管理員，這個群級管理員可以管理哪些號可以加入／移出該群組！
##gpasswd groupname:表示給予groupname一個密碼/etc/gshadow
##gpasswd [-A user……][-M user3,……] groupname
#* -A:將groupname的主控權交由後面的使用者管理
#* -M:將某些幾點號加入這個群組當中！
##gpasswd [-rR] groupname
#* -r:將groupname的密碼移除
#* -R:將groupname的密碼失效，所以newgrp就不能使用了
##群組管理員可以如下使用
##gpasswd [-ad] user groupname
#* -a:將某位使用者加入到groupname這個群組當中
#* -d:將某位使用者移除出groupname這個群組當中
###########使用者身分切換
### su [-lm] [-c 指令] [username]
#* - :單純使用 － 代表使用login-shell的變數檔案讀取方式來登入系統;若使用者名稱沒有加上去，則代表切換為root的身份
#* -l:與－類似，但後面需要加欲切換的使用者帳號！也是login-shell的方式
#* -m:-m與－p是一樣的, 表示［使用目前的環境設定，而不讀取新使用者的設定檔］
#* -c:僅進行一次指令，所以-c後面可以加上指令
###sudo [-b] [-u 新使用者帳號]
#* -b:將後續的指令放到背景中讓系統自行執行，而不與目錄的shell產生影響
#* -u:後面可以接欲切換的使用者，或無此項則代表切換身份為root
###########visudo 與/etc/sudoers
## root ALL=(ALL) ALL
##使用者帳號 登入者的來源主機名稱＝（可切換的身份） 可下達的指令
##%wheel ALL=(ALL) ALL
##在最左邊加上%,代表後面接的一個［群組之意］
##%wheel ALL=(ALL) NOPASSWD:ALL
##表示在使用sudo時不需要輸入密碼
####/sbin/nologin
###通過編輯/etc/nologin.txt來設定當/sbin/nologin使用者登陸時的提示

############PAM模組
###/etc/pam.d/passwd
＃ auth  include  system-auth
＃ account include system-auth
＃ password include system-auth
# 驗證類別 控制標準 PAM模組與該模組的參數
###include 表示請呼叫後面的檔案來作為這個類別的難證，所以上述的每一行都要重複呼叫/etc/pam.d/system-auth那個檔案來進行驗證
###難證類別：
#auth是authentication的縮寫，所以這種類雖主要用來檢驗使用者的身分識別驗證，這種類別通常是要求輸入密碼來檢驗的，所以後續接的模組是用來檢驗使用者的身份
#account則大部分是在進行authorization(授權),這種類雖則主要在檢驗使用者是否具有正確的命名用許可權
#session是會議期間的意思，所以session管理的就是使用者在這次登入期間，PAM所給予的環境設定。這個類別通常用在記錄使用者登入與登出時的資訊！
#password！這種類別主要在提供驗證的修訂工作，舉例來說，就是修改/變更密碼啦
####第二欄位驗證的控制旗標(control flag)
#reuqired:此驗證若成功則帶有success的標誌，若失敗則帶有failure的標誌，但不論成功或失敗都會繼續後續的驗證流程。由於後續的難流程可以繼續進行，因此相當有得於資料的登入，這也是PAM最常用required的原因
#requisite:若驗證失敗則立刻回報原程式failure的標誌,並終止後續的驗證流程。若驗證成功則帶有success的標誌並繼續後續的驗證流程。這個項目與required最大的差異，就在於失敗的時候還要不要繼續驗證下去。由於＃#requisite是失敗就終止，因此失敗時所產生的PAM資訊就無法透過後續的模組來記錄
#sufficient:若驗證成功就立刻回傳success給原程式，並終止後續的驗證流程:若驗證失敗則帶有failure標誌並繼續後續的驗證流程。這與requisits剛好相反
#optional:這個模組控制項大多是在顯示訊息而已，並不是用在驗證方面的
#####查詢使用者
##w who
##last
##lastlog查看每個幾點號的最近登入的時音/var/log/lastlog
#####使用者對談
#write 使用者帳號 [使用者所在終端介面]
#mesg n拒絕接受資訊，但不能拒絕root
#mesg y允許接受資訊
#wall "string" 對所有系統上面的使用者傳送簡訊
#####帳號檢查工具
##pwck:這個指令在檢查/etc/passwd這個帳號設定檔案內的資訊,與實際的家目錄是否存在等信處，還可以比對/etc/passwd /etc/shadow的資訊是否一致
##grpck:相應的群組檢查命
本文出自 “lopnxrp” 部落格